跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

CrowdStrike Falcon Sensor -lokien kerääminen

摘要: Opi keräämään CrowdStrike Falcon Sensor -lokit vianmääritystä varten. Vaiheittaiset oppaat ovat saatavilla Windowsille, Macille ja Linuxille.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

Tässä artikkelissa käsitellään CrowdStrike Falcon -anturin lokien keräämismenetelmiä.


Tuotteet, joita asia koskee:

  • CrowdStrike Falcon Sensor

Käyttöjärjestelmät, joita asia koskee:

  • Windows
  • Mac
  • Linux

原因

-

解决方案

On erittäin suositeltavaa kerätä lokit ennen CrowdStrike Falcon -anturin vianmääritystä tai yhteyden ottamista Dellin tukeen.

Huomautus: Lisätietoja yhteyden ottamisesta Dell-tukeen on kohdassa Dell Data Securityn kansainväliset tukipuhelinnumerot.

Katso tarvittavat lokitiedot valitsemalla Windows, Mac tai Linux .

Käyttäjä voi tehdä vianmäärityksen CrowdStrike Falcon Sensor Windowsissa keräämällä manuaalisesti lokit:

  • MSI-lokit : Käytetään asennusongelmien vianmääritykseen.
  • Tuotelokit : Käytetään aktivointi-, viestintä- ja toimintaongelmien vianmääritykseen.

Katso lisätietoja valitsemalla asianmukainen lokityyppi.

MSI

  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita-kenttään jompikumpi:
    • Jos käyttäjän asentama: %LOCALAPPDATA%\Temp ja valitse sitten OK.
    • Jos automaattisen päivityksen asentama: %SYSTEMROOT%\Temp ja valitse sitten OK.

Suorita-kenttä

  1. Kerää:
    • CrowdStrike Window Sensor_[TIMESTAMP]_[BIT].log
    • CrowdStrike Window Sensor_[TIMESTAMP].log

Kuvassa on esimerkkejä lokitiedostoista.

Huomautus:
  • [TIMESTAMP] = Asennuspäivämäärä &; -aika
  • [BIT] = Edustaa joko Agent32:ta tai Agent64:ää

Tuote

On suositeltavaa ottaa monisanaisuus käyttöön ja toistaa ongelma ennen tuotelokien sieppausta. Kun ongelma on ratkaistu, suosittelemme poistamaan monisanaisuuden käytöstä . Katso lisätietoja valitsemalla asianmukainen prosessi.

Ota käyttöön
Varoitus:
  • Dell Technologies suosittelee, että monisanaisuus otetaan käyttöön vain ongelman vianmäärityksessä.
  • Dell Technologies suosittelee monisanaisuuden poistamista käytöstä, kun ongelma on ratkaistu.
  • Päätepisteiden suorituskyky saattaa heiketä, kun monisanaisuus on käytössä.
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita käyttöliittymä (UI) -kohtaan regedit ja paina sitten CTRL+VAIHTO+ENTER, jos haluat suorittaa rekisterieditorin järjestelmänvalvojana.

Suorita-kenttä

  1. Jos Käyttäjätilien valvonta on käytössä, valitse Kyllä. Siirry muutoin vaiheeseen 5.

Käyttäjätilien valvonnan kehote

  1. Mennä [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

rekisteri

  1. Kaksoisnapsauta AFLAGS.

AFLAGS rekisterissä

  1. Paina Delete-näppäintä, kirjoita 03ja valitse sitten OK.

Muokkaa binaariarvoa -näyttö

  1. Valitse Tiedosto ja Sulje.

Rekisterieditorista poistuminen

Huomautus: kun lokiin kirjaaminen on käytössä, toista ongelma.
Capture
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita käyttöliittymä (UI) -kohtaan eventvwr ja valitse sitten OK.

Suorita-kenttä

  1. Laajenna Tapahtumienvalvonnassa Windows-lokit ja valitse Järjestelmä.

Windows-lokit ja -järjestelmä

  1. Napsauta hiiren kakkospainikkeella Järjestelmä-lokia ja valitse Suodata nykyinen loki.

Suodata nykyinen loki

  1. Valitse Source-kohdassa CSAgent.

Tapahtumalähteen määrittäminen CSAgentiksi

  1. Napsauta järjestelmälokia hiiren kakkospainikkeella ja valitse Tallenna suodatettu lokitiedosto nimellä.

Tallenna suodatettu lokitiedosto nimellä

  1. Vaihda tiedostonimeksi CrowdStrike_[WORKSTATIONNAME].evtx ja valitse sitten Save.

Tiedostonimen muuttaminen ja tallentaminen

Huomautus: Dell Technologies suosittelee, että määritetään [WORKSTATIONNAME] Jos ongelma ilmenee useissa päätepisteissä.
Poista käytöstä
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita käyttöliittymä (UI) -kohtaan regedit ja paina sitten CTRL+VAIHTO+ENTER, jos haluat suorittaa rekisterieditorin järjestelmänvalvojana.

Suorita-kenttä

  1. Jos Käyttäjätilien valvonta on käytössä, valitse Kyllä. Siirry muutoin vaiheeseen 5.

Käyttäjätilien valvonnan kehote

  1. Siirry [HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default].

rekisteri

  1. Paina Delete-näppäintä, kirjoita 0ja valitse sitten OK.

Muokkaa binaariarvoa

  1. Valitse Tiedosto ja Sulje.

Rekisteristä poistuminen

Käyttäjä voi suorittaa vianmäärityksen CrowdStrike Falcon Sensor Macissa keräämällä:

  • Asennuslokit : Käytetään asennusongelmien vianmääritykseen.
  • Tuotelokit : Käytetään aktivointi-, viestintä- ja toimintaongelmien vianmääritykseen.

Katso lisätietoja valitsemalla asianmukainen lokityyppi.

Asenna

CrowdStrike Falcon Sensor tallentaa asennustiedot alkuperäiseen install.log-tiedostoon.

  1. Valitse omenavalikosta Siirry ja Siirry kansioon.

Siirry kansioon

  1. Kirjoita /var/log ja napsauta sitten Siirry.

Siirry kansion käyttöliittymään

  1. Kopioi Install.log helposti saatavilla olevaan paikkaan lisätutkimuksia varten.

install.log

Huomautus: Dell Technologies suosittelee hakua "CrowdStrike", jotta tiedot ovat varmasti olennaisia CrowdStriken kannalta.

Tuote

On suositeltavaa ottaa monisanaisuus käyttöön ja toistaa ongelma ennen tuotelokien sieppausta. Kun ongelma on ratkaistu, suosittelemme poistamaan monisanaisuuden käytöstä . Katso lisätietoja valitsemalla asianmukainen prosessi.

Ota käyttöön
Varoitus:
  • Dell Technologies suosittelee, että monisanaisuus otetaan käyttöön vain ongelman vianmäärityksessä.
  • Dell Technologies suosittelee monisanaisuuden poistamista käytöstä, kun ongelma on ratkaistu.
  • Päätepisteiden suorituskyky saattaa heiketä, kun monisanaisuus on käytössä.
  1. Kirjaudu sisään päätepisteeseen.
  2. Valitse omenavalikosta Siirry ja Lisäohjelmat.

Lisäohjelmat

  1. Kaksoisnapsauta kohtaa Pääte.

Pääte

  1. Kirjoita Päätteeseen sudo sysctl cs.feature=3 ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Pääte täyttää sudo-salasanan

  1. Vahvista cs.feature=3.

Päätteen käyttöliittymä

Huomautus: kun lokiin kirjaaminen on käytössä, toista ongelma.
Capture
  1. Kirjaudu siihen päätepisteeseen, jota ongelma koskee.
  2. Valitse omenavalikosta Siirry ja Lisäohjelmat.

Lisäohjelmat

  1. Kaksoisnapsauta kohtaa Pääte.

Pääte

  1. Kirjoita Päätteeseen sudo /Library/CS/falconctl diagnose ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Sudo-salasanan täyttäminen päätteellä

  1. Useiden minuuttien kuluttua falconctl_diagnose.tgz luodaan /private/tmp.
Poista käytöstä
  1. Kirjaudu sisään päätepisteeseen.
  2. Valitse omenavalikosta Siirry ja Lisäohjelmat.

Lisäohjelmat

  1. Kaksoisnapsauta kohtaa Pääte.

Pääte

  1. Kirjoita Päätteeseen sudo sysctl cs.feature=0 ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Sudo-salasanan täyttäminen päätteellä

  1. Vahvista cs.feature=0.

Päätteen käyttöliittymä

  1. Kirjaudu sisään päätepisteeseen.
  2. Avaa Linuxin pääte.

Pääte

Huomautus: käyttöliittymän asettelu voi vaihdella Linux-jakelun mukaan.
  1. Kirjoita Päätteeseen su root ja paina sitten Enter-näppäintä.
  2. Kirjoita salasana kohteelle sudoja paina sitten Enter-näppäintä.

Pääte täyttää sudo-salasanan

  1. Kirjoita sudo mkdir /tmp/CrowdStrike ja paina sitten Enter-näppäintä.

Päätelaitteiden valmistushakemisto

Huomautus: Esimerkki /tmp/CrowdStrike Hakemistoa voidaan muokata ympäristössäsi.
  1. Kirjoita sudo grep falcon /var/log/messages > /tmp/CrowdStrike/log_messages.txt ja paina sitten Enter-näppäintä.
  2. Kirjoita sudo grep falcon /var/log/syslog > /tmp/CrowdStrike/log_syslog.txt ja paina sitten Enter-näppäintä.
  3. Kirjoita sudo grep falcon /var/log/rsyslog > /tmp/CrowdStrike/log_rsyslog.txt ja paina sitten Enter-näppäintä.
  4. Kirjoita sudo grep falcon /var/log/daemon > /tmp/CrowdStrike/log_daemon.txt ja paina sitten Enter-näppäintä.

Päätteen käyttöliittymä

Huomautus: kaikkia hakemistoja ei välttämättä ole kaikissa Linux-jakeluissa.
  1. Kaappaa kaikki tulostetiedostot /tmp/CrowdStrike (Vaihe 5) SSH: n avulla.

Päätelaitteen kaappauslähtö

Huomautus:
  • SSH on oletusarvoisesti poissa käytöstä Linux-jakeluissa.
  • Kun SSH on otettu käyttöön, yhteys Linux-päätepisteeseen voidaan muodostaa kolmannen osapuolen ohjelmistolla (esimerkiksi PuTTY).

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

其他信息

 

视频

 

受影响的产品

CrowdStrike
文章属性
文章编号: 000178209
文章类型: Solution
上次修改时间: 01 2月 2024
版本:  17
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。